El diario francés Le Figaro ha expuesto unos 7.400 millones de registros los cuales tenían información personal identificable (PII) de empleados, reporteros y al menos 42.000 usuarios.

La base de datos que fue descubierta por el equipo de expertos de Safety Detectives dirigido por el investigador Anurag Sen, también incluía datos de cuentas registradas entre febrero y abril de 2020, así como registros de accesos en el mismo período.

«Alojada en un servidor de Elasticsearch propiedad de Poney Telecom en Francia, la base de datos filtrada contenía más de 8TB de datos, aproximadamente unos 7.400 millones de registros. El servidor estaba activo en el momento de nuestra investigación, filtrando datos de Información Personal Identificable (PII) de personas que accedían a cuentas privadas en el sitio web de noticias de Le Figaro, y en algunos casos, sus credenciales de acceso».

Safety Detectives

Los datos expuestos incluían nombres completos, correos electrónicos, direcciones (países de residencia, códigos postales), contraseñas en texto plano en formato hash usando MD5, y direcciones IP y tokens usados para el acceso a los servidores internos.

Casi nada.

Los registros de la API de la base de datos contenían registros de personas que registraron una cuenta de suscripción en el sitio web de Le Figaro de febrero a abril de 2020, junto con los registros de usuarios preexistentes que se conectaron a sus cuentas.

Por si todo lo anterior se quedaba corto, la base de datos también contenía registros técnicos que podían dar a un atacante información valiosa sobre la infraestructura de Le Figaro. Estos incluían errores de consulta SQL, tráfico entre diferentes servidores, protocolos de comunicación…

Desde Safety Detectives creen que la fuga podría estar conectada al sistema AGORA utilizado por Le Figaro como CRM y haber sido expuesta accidentalmente debido a un servidor de Elasticsearch mal configurado.

«Finalmente, y lo más preocupante de todo, es que la base de datos estaba completamente expuesta al público – sin necesidad de una contraseña para acceder a ella», describe el artículo el post «Cualquiera que conociera la dirección IP de la base de datos podría haber accedido».

Si queréis ampliar la información ▶️ Safety Detectives

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

.